Se habla mucho del Reglamento General de Protección de Datos de la Unión Europea (rgpd) y lo que significa para los sitios web. La ley impone requisitos estrictos sobre la forma en que las organizaciones pueden recopilar y utilizar los datos y lo que deben informar a los visitantes.
Puede resultar tentador ignorar todas esas normas; al fin y al cabo, las consecuencias del incumplimiento de rgpd no pueden ser tan graves, ¿verdad?
Equivocada.
En los últimos cinco años, desde que entró en vigor la rgpd , las empresas se han enfrentado a multas de ocho, nueve e incluso diez cifras por incumplir la rgpd o gestionar mal las violaciones de datos.
Utilice el índice que figura a continuación para pasar a las multas más elevadas de rgpd en un año concreto, o siga leyendo para conocer las 10 multas más elevadas jamás impuestas en virtud de rgpd.
- Top 10 rgpd Multas jamás impuestas
- Cómo evitar multas en rgpd Termly
- Mayores multas en rgpd en 2023
- Mayores multas en rgpd en 2022
- Mayores multas en rgpd en 2021
- Las mayores multas de rgpd en 2020
- Las mayores multas de rgpd en 2019
- Las mayores multas en 2018 en rgpd
- Aumento interanual de las multas y sumas en rgpd
- rgpd El cumplimiento es esencial
Top 10 rgpd Multas jamás impuestas
La rgpd estructura y emite multas basadas en los ingresos internacionales de una empresa. Por eso verá algunos nombres conocidos en la lista que figura a continuación.
Estas diez empresas infringieron las normas de rgpdy se vieron obligadas a pagar multas por valor de decenas o cientos de millones de euros.
1. Meta - 1.200 millones de euros (1.300 millones de dólares)
Año de emisión: 2023
La empresa matriz de Facebook, Meta, tiene ahora la mayor multa jamás impuesta en rgpd .
El 22 de mayo de 2023, la autoridad supervisora de Irlanda abofeteó al conglomerado de redes sociales Meta con una multa récord de 1.200 millones de euros por transferir a Estados Unidos datos recopilados de usuarios de Facebook en la UE/EEE, infringiendo las directrices sobre transferencias internacionales de rgpd .
Según los reguladores de la privacidad de los datos, Meta incumplió la sentencia Schrems II del Tribunal Supremo de la UE de 2020, que invalidaba el Marco del Escudo de Privacidad UE-S.
Además de la cuantiosa multa, se ha ordenado a Meta que ponga fin a las transferencias internacionales y dispone de cinco meses para cumplir las correcciones. Meta ha anunciado que tiene previsto recurrir la decisión, lo que probablemente desembocará en un largo proceso judicial. Manténgase informado.
2. Amazon - 746 millones de euros (780,9 millones de dólares)
Año de emisión: 2021
Se descubrió que la sede luxemburguesa del minorista en línea en la UE rastreaba los datos de los usuarios sin obtener su consentimiento ni proporcionarles los medios para excluirse voluntariamente de este rastreo, lo que supuso para Amazon la mayor multa de rgpd en aquel momento.
3. Meta Platforms Limited (Instagram) - 405 millones de euros (442 millones de dólares)
Año de emisión: 2022
El conglomerado de redes sociales fue multado por la autoridad irlandesa de protección de datos en 2022 por tratamiento indebido de datos personales de menores.
En concreto, la infracción consistió en revelar públicamente las direcciones de correo electrónico y los números de teléfono de los menores que acceden a la función de cuentas de empresa de Instagram y hacer públicas por defecto las cuentas de los menores.
4. Meta Platforms Ireland Limited (Facebook e Instagram) - 390 millones de euros (425 millones de dólares)
Año de emisión: 2023
Facebook e Instagram, ambas parte de Meta, fueron multadas por la Comisión de Protección de Datos de Irlanda por utilizar la confianza en un contacto como base jurídica para la mayor parte de su tratamiento de datos de forma poco clara para los usuarios.
Las infracciones de Facebook supusieron 210 millones de euros de la multa, y las de Instagram, 180 millones de euros adicionales.
5. TikTok Limited - 345 millones de euros (377 millones de dólares)
Emisiones del año: 2023
TikTok fue multada por el RPD de Irlanda por recopilar y tratar indebidamente datos personales de menores de 13 años y configurar sus cuentas como públicas por defecto.
6. Meta Platforms Ireland Limited (Facebook) - 265 millones de euros (289 millones de dólares)
Año de emisión: 2022
La Comisión de Protección de Datos (CPD) multó a Meta, responsable del tratamiento de datos de Facebook, tras descubrir que un conjunto de datos de Facebook con información personal puesta a disposición de internet violaba la protección de datos por diseño y por defecto.
7. WhatsApp - 225 millones de euros (247 millones de dólares)
Año de emisión: 2021
La Comisión de Protección de Datos de Irlanda multó a WhatsApp por políticas de privacidad poco claras y falta de transparencia en el uso que hacía de los datos de los usuarios.
8. Google LLC - 90 millones de euros (99 millones de dólares)
Año de emisión: 2021
La CNIL francesa multó a Google por no ofrecer a los usuarios una forma sencilla de rechazar las cookies, de acuerdo con la rgpd y la Directiva sobre privacidad y comunicaciones electrónicas.
9. Google Ireland Ltd. - 60 millones de euros (66 millones de dólares)
Año de emisión: 2021
La CNIL también multó a Google Ireland Ltd. por no ofrecer a los usuarios formas sencillas de rechazar las cookies en YouTube.
10. Facebook Ireland Ltd. - 60 millones de euros (66 millones de dólares)
Año de emisión: 2021
Al recibir la tercera multa de la CNIL en 2021, Facebook también fue sancionada por no ofrecer a los usuarios métodos sencillos para rechazar las cookies cuando utilizan el sitio web.
Cómo evitar multas en rgpd Termly
Estas multas demuestran precisamente lo importante que es para las empresas cumplir la rgpd , independientemente de dónde estén ubicadas.
Termly puede ayudar a su organización a implantar políticas conformes con rgpd y a gestionar sus necesidades de consentimiento de datos.
Con Termly, puede:
- Generar una política de privacidad que se actualice automáticamente cuando cambien las leyes
- Implantar cookies gestión del consentimiento que sigan la rgpd, la CCPA y la Directiva sobre privacidad en las comunicaciones electrónicas.
- Seguimiento del consentimiento del usuario para mantener el cumplimiento de las cookies
- Bloquear automáticamente las cookies para cualquier usuario que decida no aceptarlas.
Trabajar con Termly puede garantizarle el cumplimiento en todo momento de la legislación internacional vigente en materia de protección de datos.
En su lugar, puede centrarse en dirigir su negocio y dejar que Termly se encargue de la privacidad y el cumplimiento de las cookies de rgpd por usted.
Mayores multas en rgpd en 2023
1. Meta - 1.200 millones de euros (1.300 millones de dólares)
El 22 de mayo de 2023, la autoridad supervisora de Irlanda abofeteó al conglomerado de redes sociales Meta con una multa récord de 1.200 millones de euros.
Por qué les multaron
Según los reguladores de la privacidad de datos, Meta fue multada por transferir a EE.UU. datos recogidos de usuarios de Facebook en la UE/EEE, infringiendo las directrices sobre transferencias internacionales de rgpd .
La empresa incumplió la sentencia Schrems II del máximo tribunal de la UE de 2020, que invalidaba el Marco del Escudo de Privacidad UE-S.
Además de la cuantiosa multa, se ha ordenado a Meta que ponga fin a las transferencias internacionales y dispone de cinco meses para cumplir las correcciones.
Cómo respondieron
Meta anunció que tiene previsto recurrir la decisión, lo que probablemente desembocará en un largo proceso judicial.
Por ahora, dicen que los servicios de Facebook no deberían verse interrumpidos, pero información como fotos, conexiones de amigos, datos publicitarios y mensajes directos podrían verse eventualmente afectados.
Consulte las próximas actualizaciones.
2. Meta Platforms Ireland Limited - 390 millones de euros (426 millones de dólares)
El 2 de enero de 2023, la autoridad supervisora de Irlanda impuso a Meta Platform Ireland Limited, responsable del tratamiento de datos en la región, una multa de 390 millones de euros.
Por qué les multaron
Meta había pedido a los usuarios que dieran su consentimiento a unas nuevas condiciones que cambiaban la base jurídica del tratamiento de sus datos del consentimiento al cumplimiento de un contrato.
La denegación del consentimiento impedía a los usuarios acceder a sus cuentas.
El CPD consideró que Meta incumplía las directrices de transparencia descritas en rgpd.
Además, constataron que la empresa no explicaba con suficiente claridad por qué era necesario el tratamiento de los datos personales y sobre qué base jurídica, como se indica en sus términos y condiciones.
Algunos reguladores de la UE también alegaron que no era razonable citar el cumplimiento de un contrato como base jurídica para utilizar los servicios de Meta, y el asunto se remitió a la AEPD.
La EDPB mantuvo esta crítica y multó a Meta con 390 millones de euros.
Cómo respondieron
Meta tiene intención de recurrir la multa y la decisión de las autoridades reguladoras.
En un comunicado, Meta hace referencia a la falta de acuerdo sobre la aplicación práctica de la base jurídica para compartir información personal.
3. TikTok Limited - 345 millones de euros (378 millones de dólares)
El 1 de septiembre de 2023, el popular servicio de intercambio de vídeos y plataforma de redes sociales TikTok recibió de la autoridad irlandesa de protección de datos una multa de 345 millones de euros por violar la rgpd .
Por qué les multaron
La autoridad de control irlandesa multó a TikTok Limited por infringir los principios generales de tratamiento de datos recogidos en rgpd.
El CPD llevó a cabo la investigación para determinar cómo TikTok manejaba la información personal de menores de 13 años.
En concreto, citaron que TikTok establecía automáticamente los perfiles de los niños como públicos.
Cómo respondieron
Inicialmente, se produjeron algunas objeciones a la multa.
La autoridad supervisora de Berlín denunció infracciones en virtud del principio de equidad debido al supuesto uso de patrones oscuros por parte de TikTok.
Al otro lado del espectro, la autoridad italiana de protección de datos afirmó que TikTok cumplía realmente los requisitos de verificación de la edad.
El asunto se remitió a la Junta Europea de Protección de Datos (JEPD), que, tras investigarlo, decidió añadir la violación adicional al principio de imparcialidad.
4. CRITEO - 40 millones de euros (44 millones de dólares)
El 15 de junio de 2023, la autoridad francesa de protección de datos, CNIL, multó con 40 millones de euros a una empresa de publicidad online llamada CRITEO.
Por qué les multaron
La CNIL multó a CRITEO tras determinar que la empresa de publicidad no se aseguró de que los interesados dieran su consentimiento para el tratamiento de sus datos.
La empresa también fue multada por no informar a los titulares de los datos sobre sus derechos y no proporcionar una forma de actuar adecuadamente sobre esos derechos.
Cómo respondieron
CRITEO criticó la multa de la CNIL y negó la acusación de no haber informado a los interesados sobre sus actividades de tratamiento.
También alegaron que la multa inicial de 60 millones de euros era excesiva en comparación con las sanciones impuestas por la CNIL a otras empresas por infracciones similares.
Como resultado, la multa se redujo a 40 millones de euros.
5. TikTok - 14,5 millones de euros (15,8 millones de dólares)
El 4 de abril de 2023, la plataforma de redes sociales y servicio para compartir vídeos TikTok recibió una multa de 14,5 millones de euros de la autoridad de protección de datos del Reino Unido, la Oficina del Comisionado de Información (ICO), por violar la legislación británica rgpd.
Por qué les multaron
La ICO multó a TikTok por recoger datos personales que pertenecían a niños sin obtener el debido consentimiento paterno.
Según la investigación, en 2020, TikTok recopiló datos de más de un millón de niños británicos menores de, contradiciendo su acuerdo de términos y condiciones.
Se determinó que la empresa no hizo lo suficiente para verificar quién utilizaba su plataforma y eliminar suficientemente a los menores de edad que crearon cuentas.
Cómo respondieron
Inicialmente, la ICO impuso una multa más elevada, de 31,3 millones de euros, pero la rebajó tras decidir no perseguir una infracción adicional relacionada con el supuesto uso de categorías especiales de datos por parte de TikTok.
La decisión redujo la multa a la mitad, y TikTok ha invertido en actualizar sus medidas de seguridad y sus sistemas internos de procesamiento.
6. Axpo Italia S.p.A. - 10 millones de euros (10,9 millones de dólares)
El 9 de septiembre de 2023, la autoridad italiana de protección de datos, el Garante Per La Protezione Dei Dati Personali, multó a la empresa de soluciones de energía sostenible Axpo Italia Spa con 10 millones de euros por violar partes de la rgpd.
Por qué les multaron
El Garante investigó tras recibir múltiples denuncias de que Axpo Italia S.p.A. estaba procesando datos inexactos de clientes para establecer contratos no solicitados.
En concreto, los vendedores de la empresa estaban adquiriendo nuevos contratos de electricidad y gas utilizando una base de datos con información obsoleta. No existía ningún proceso ni salvaguarda para verificar que los datos fueran exactos y estuvieran vinculados a clientes reales.
El Garante determinó que se habían visto afectados más de 5.000 interesados y declaró que la empresa había infringido el artículo 5, apartados 1, a) y d), el artículo 5, apartado 2, y el artículo 24 de la rgpd.
Cómo respondieron
Axpo Italia S.p.A. acató las conclusiones y se le ordenó aplicar medidas correctoras, entre ellas la utilización de un sistema de bloqueo para verificar la exactitud de los datos de sus equipos de ventas y un sistema de alerta para detectar comportamientos fraudulentos.
También se les ordenó detener cualquier otra actividad de tratamiento de sus clientes que rescindieran sus contratos debido a activaciones de servicios no solicitadas.
7. TIM S.p.A. - 7,6 millones de euros (8,3 millones de dólares)
La autoridad italiana de supervisión, Garante, consideró que la empresa de telecomunicaciones TIM S.p.A. infringía aspectos de la rgpd.
Por qué fueron multados
TIM S.p.A. fue multada por responder inadecuadamente a las solicitudes de los interesados y supervisar centros de llamadas ilegales.
La empresa también cedió presuntamente datos personales a guías telefónicas públicas sin obtener el debido consentimiento de los afectados.
Cómo respondieron
Se espera que TIM S.p.A. pague la multa, ya que no es la primera vez que recibe sanciones por infringir la rgpd.
8. WhatsApp Ireland Ltd. - 5,5 millones de euros (6 millones de dólares)
El 19 de enero de 2023,WhatsApp Ireland Ltd. fue multada por la autoridad de protección de datos de Irlanda.
Por qué fueron multados
WhatsApp recibió una multa por no cumplir la definición de consentimiento de rgpd .
Se pedía a los usuarios que aceptaran los nuevos términos y condiciones haciendo clic en un botón que decía "aceptar y continuar", lo que WhatsApp consideraba como la celebración de un contrato y utilizaba esto como base jurídica para recopilar datos personales.
Sin embargo, los interesados se quejaron de que la empresa se basaba en el consentimiento y, en lugar de otorgarlo libremente, WhatsApp obligaba a las personas a aceptar las nuevas condiciones.
El CPD no estimó el argumento de que WhatsApp buscaba realmente el consentimiento, pero consideró que la empresa incumplía la transparencia en relación con su base jurídica para el tratamiento.
Cómo respondieron
WhatsApp respondió cambiando su base legal para procesar la mayoría de los datos de los usuarios a interés legítimo, y dice que esto no cambia su compromiso con la privacidad de los usuarios o la forma en que trata los datos de los usuarios.
9. EOS Matrix d.o.o. - 5,4 millones de euros (5,8 millones de dólares)
El 5 de octubre de 2023, tras recibir una petición que contenía una memoria USB con información sobre 181.641 personas, la Agencia Croata de Protección de Datos (AZOP) multó a una empresa de cobro de deudas llamada EOS Matrix d.o.o. por infringir partes de la rgpd.
Por qué fueron multados
EOS Matrix infringió la rgpd al no adoptar las medidas técnicas adecuadas para proteger los datos personales de los interesados.
El grupo también trató datos personales de sujetos que no mantenían una relación deudor/acreedor sin establecer una base jurídica. El tratamiento incluía categorías especiales de datos, que no se comunicaron de forma transparente a los interesados.
Cómo respondieron
EOS Matrix d.o.o. negó algunos aspectos de las acusaciones, afirmando que almacena de forma segura los datos personales de sus consumidores.
Sin embargo, AZOP no mantuvo su negativa, ya que todavía no está claro cómo los datos personales de sus 181.641 clientes fueron exfiltrados y copiados a la unidad USB en primer lugar.
10. Clearview AI - 5,2 millones de euros (5,6 millones de dólares)
El 10 de mayo de 2023, Clearview AI, el grupo responsable de ChatGPT, fue multado por la CNIL francesa.
Por qué fueron multados
La CNIL francesa multó a Clearview AI por cooperación insuficiente con la autoridad supervisora.
En concreto, la CNIL alegó que la empresa incumplió órdenes anteriores de diciembre de 2021, cuando se descubrió que la empresa procesaba millones de datos sin proporcionar derechos de acceso a los interesados.
Se ordenó a la empresa que dejara de recopilar y tratar datos personales de personas en Francia, pero no cumplió, lo que le supuso una acumulación de multas atrasadas de 100.000 euros al día durante 52 días.
Cómo respondieron
Clearview AI negó todas las acusaciones, alegando que no tiene clientes en Francia ni en la UE.
Mayores multas en rgpd en 2022
Se han emitido múltiples multas masivas a empresas que violan la rgpd. Esto se debe a que estas organizaciones han tenido múltiples años para cumplir con la ley de protección de datos de la UE y no lo hicieron. Como resultado, se enfrentan a multas dramáticas por violar los derechos de los ciudadanos de la UE a la privacidad de los datos.
1. Instagram - 405 millones de euros (401,3 millones de dólares)
Instagram, propiedad de Meta Platforms, fue multada por el Comisario de Protección de Datos irlandés en lo que ha sido la segunda multa más alta jamás impuesta en rgpd .
Por qué les multaron
Instagram fue multada con 405 millones de euros por infringir las normas sobre el tratamiento de datos de menores sin una base legal. Los menores de entre 13 y 17 años tenían sus números de teléfono y direcciones de correo electrónico a disposición del público si gestionaban una cuenta de Instagram de empresas o creadores.
Cómo respondieron
Instagram declaró que no estaba de acuerdo con la forma en que se había calculado la multa y que estaba revisando la decisión.
2. Enel Energia - 26,5 millones de euros (29,27 millones de dólares)
Enel Energia, distribuidora internacional de electricidad y gas con sede en Italia, ha recibido hasta ahora la multa más alta de 2022 en rgpd .
Por qué les multaron
La agencia italiana de protección de datos, denominada Garante, decidió multar a Enel Energia con 26,5 millones de euros tras recibir cientos de denuncias contra la empresa.
La investigación del Garante descubrió que Enel Energia utilizaba ilegalmente los datos personales de sus clientes. La empresa utilizó estos datos privados para realizar llamadas de telemarketing sin obtener el debido consentimiento de los usuarios ni informarles de cómo se utilizaría su información.
Cómo respondieron
Enel Energia afirma que las llamadas se realizaron para ponerse en contacto con los clientes durante la pandemia. En una declaración enviada por correo electrónico a Compliance Week, Enel Energia declaró que "evaluará cualquier acción posterior" en relación con los requisitos del Garante de que la empresa ajuste sus actividades de tratamiento de datos a la rgpd. La empresa también se reserva el derecho de presentar un recurso.
3. Clearview AI - 20 millones de euros (20,9 millones de dólares)
Clearview AI es una empresa estadounidense de reconocimiento facial con sede en Nueva York.
Por qué les multaron
Clearview AI recoge selfies e imágenes de Internet y las compila en una base de datos de reconocimiento facial que luego vende a terceros (como las fuerzas de seguridad). El multada con 20 millones de euros por el regulador italiano de la privacidad (Garante della privacy) tras investigar varias denuncias.
Garante constató que Clearview AI trató datos personales, incluida información biométrica y de geolocalización, sin una base jurídica adecuada. También infringió los principios de transparencia, limitación de la finalidad y limitación del almacenamiento de rgpd .
En Italia, Clearview AI tiene ahora prohibido recoger imágenes y procesar los datos. También se le ha ordenado borrar los datos que tenía de cualquier persona en Italia.
Cómo respondieron
Clearview AI Hoan Ton-That, consejero delegado de Clearview AI, declaró que Clearview AI no tiene operaciones comerciales ni clientes en Italia ni en la Unión Europea, por lo que no está sujeta a la rgpd.
4. Clearview AI - 20 millones de euros (20,9 millones de dólares)
La agencia francesa de protección de datos, Commission nationale de l'informatique et des libertés (CNIL), también consideró que Clearview AI había infringido la página rgpd .
Por qué les multaron
La CNIL abrió la investigación sobre Clearview AI en 2020 tras recibir quejas sobre el software de reconocimiento facial. En noviembre de 2021, ordenó a Clearview que eliminara todos los datos de personas en territorio francés, ya que carecía de base legal para proteger los derechos individuales y cumplir las solicitudes de eliminación.
En CNIL multó a Clearview AI por tratamiento ilícito de datos personales y no proteger los derechos de las personas en territorio francés.
Cómo respondieron
Clearview AI respondió que era imposible determinar a partir de fotos públicas en Internet quién se encontraba en territorio francés y, por tanto, no podía suprimir los datos. También declaró que solo recopilaba información pública y que no hacía negocios en Francia ni en la UE, por lo que no estaba sujeta a la rgpd.
5. Clearview AI - 20 millones de euros (20,9 millones de dólares)
En otra medida contra Clearview AI, la Agencia Helénica de Protección de Datos de Grecia también la multó por violar la rgpd.
Por qué les multaron
Se consideró que Clearview AI violó los principios de legalidad y transparencia de rgpd de legalidad y transparencia al recopilar fotos y selfies sin consentimiento.
Cómo respondieron
Otra vez, Clearview AI respondió, afirmando que no tenía clientes ni un centro de actividad en Grecia o en la UE y que, por lo tanto, no estaba sujeta a la rgpd.
6. Meta Platforms Ireland Limited - 17 millones de euros (18,7 millones de dólares)
Meta Platforms Ireland Limited (Meta), anteriormente Facebook Ireland Limited, ha sido multada por la Comisión de Protección de Datos (CPD) de Irlanda.
Por qué les multaron
El CPD investigó a Meta tras recibir la notificación de 12 violaciones de datos entre junio de 2018 y diciembre de 2018. Tras una investigación, descubrió que Meta no contaba con las medidas técnicas y organizativas adecuadas, por lo que no pudo demostrar las medidas de seguridad que tenía para proteger los datos de los usuarios.
El CPD impuso a Meta una multa de 17 millones de euros.
Cómo respondieron
A El representante de Meta respondió a la decisión del CPD: "Esta multa se refiere a prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no a un fallo en la protección de la información de las personas. Nos tomamos muy en serio nuestras obligaciones en virtud de la rgpd y estudiaremos detenidamente esta decisión mientras nuestros procesos siguen evolucionando."
7. Google LLC - 10 millones de euros (10,47 millones de dólares)
Google ha sido multada con 10 millones de euros por la autoridad española de protección de datosAgencia Española de Protección de Datos (AEPD) tras iniciar una investigación.
Por qué les multaron
La AEPD descubrió que Google estaba transfiriendo datos recogidos de ciudadanos de la UE al Proyecto Lumen, un proyecto de investigación con sede en Estados Unidos, sin su permiso. Además, el formulario que los usuarios tenían que rellenar para borrar su información era complicado y, por tanto, vulneraba el derecho al olvido.
Por estas dos infracciones, Google fue multada con 5 millones de euros cada una.
Cómo respondieron
A representante de Google mantuvo la promesa de transparencia de la empresa y dijo que revisaría la decisión para reexaminar sus prácticas a fin de cumplir la normativa sobre privacidad.
8. Clearview AI Inc. - 8,75 millones de euros (9,34 millones de dólares)
Clearview AI también fue multada por la agencia de protección de datos del Reino Unido.
Por qué les multaron
La Oficina del Comisario de Información (ICO) descubrió que Clearview AI recopilaba las imágenes para su software de reconocimiento facial sin tener un motivo lícito. Ordenó a Clearview AI que eliminara los datos que recopilaba sobre residentes en el Reino Unido.
Cómo respondieron
En consejero delegado de Clearview AI, Hoan Ton-That, declaró que la ICO "malinterpretó" su tecnología y sus motivaciones. Sostuvo que Clearview AI solo recopila información pública y obedece todas las leyes y normas sobre privacidad de datos.
9. REWE International - 8 millones de euros (9 millones de dólares)
La Autoridad Austriaca de Protección de Datos (DPA) impuso una multa de 8 millones de euros al minorista austriaco de alimentación REWE International.
Por qué les multaron
La empresa fue multada por gestionar indebidamente los datos de los usuarios que participaban en su programa de fidelización. El programa, llamado jö Bonus Club, recopilaba los datos de sus usuarios sin su consentimiento y los utilizaba con fines de marketing.
Cómo respondieron
REWE International tiene la intención de recurrir la decisión. La empresa argumenta que jö Bonus Club es una filial que opera independientemente de REWE Internacional en su conjunto. Por lo tanto, según este argumento, jö Bonus Club era responsable del uso de los datos de los clientes, y no REWE International.
La empresa matriz alega además que esto significa que jö Bonus Club debería ser multado en su lugar. Esto reduciría significativamente la multa, ya que las sanciones de rgpd se fijan en función de los ingresos de las organizaciones multadas. Sin embargo, no está claro si este recurso logrará reducir la multa.
10. Cosmote Mobile Telecommunications - 6 millones de euros (6,6 millones de dólares)
El operador griego de telefonía móvil Cosmote Mobile Telecommunications ha sido multado con 6 millones de euros por la Autoridad Helénica de Protección de Datos (HDPA).
Por qué les multaron
La multa tuvo dos causas. En primer lugar, en septiembre de 2020 un pirateo de los datos privados de la empresa dio lugar a una importante violación de datos, que expuso información privada de los clientes.
En segundo lugar, se descubrió que la empresa procesaba ilegalmente datos de clientes. Como resultado, el pirateo de septiembre expuso muchos más datos de los que debería haber expuesto. Además, los datos privados no estaban totalmente seudonimizados, lo que facilitó a los hackers la identificación de personas a partir de los datos filtrados.
Cómo respondieron
La empresa aún no ha respondido a la multa.
11. Interserve Group Limited - 5 millones de euros (4,94 millones de dólares)
Interserve Group Limited es una empresa británica de servicios de construcción y apoyo con sede en el Reino Unido. Se descubrió que había infringido la rgpd a raíz de una violación de datos ocurrida hace dos años.
Por qué les multaron
La ICO británica sostuvo que Interserve Group Limited no protegió los datos personales de los empleados, lo que dio lugar a un ciberataque entre marzo de 2020 y mayo de 2020, en el que se vieron afectados los datos de 113.0000 empleados. Se expusieron datos personales, incluidos datos de contacto, números de la seguridad social, detalles de cuentas bancarias y datos de categorías especiales (orígenes étnicos, religión, discapacidades, orientación sexual e información sanitaria).
Este incumplimiento de la obligación de proteger los datos personales y mantener las salvaguardias adecuadas infringió la rgpd.
Cómo respondieron
Un representante de representante de Interserve declaró"A pesar de las incoherencias entre la notificación de sanción de la OIC y el comunicado de prensa, y de la preocupación de que la OIC no haya seguido un proceso justo y adecuado, Interserve seguirá dando prioridad a los intereses de su personal pasado y presente, de sus contrapartes y de otras partes interesadas mientras colabora con la OIC para resolver sus investigaciones."
Interserve tiene hasta el 21 de noviembre de 2022 para pagar la multa, a menos que recurra la decisión en los 28 días siguientes a la emisión de la multa (24 de octubre de 2022).
12. Uber B.V. y Uber Technologies, Inc. - 4,24 millones de euros (4,47 millones de dólares)
La popular empresa de servicios de transporte Uber fue multada con 4,24 millones de euros por las autoridades italianas de protección de datos. Uber B.V. es una empresa holandesa y Uber Technologies, Inc. es la matriz estadounidense.
Por qué les multaron
Uber sufrió una filtración de datos en 2016 en la que 57 millones de usuarios de todo el mundo vieron pirateados sus datos personales, incluidos su nombre, apellidos, número de teléfono, correo electrónico, credenciales de acceso a la aplicación, datos de localización y datos relacionados con otros usuarios, como viajes compartidos. En Italia, se vieron afectados 52.000 conductores y 243.000 pasajeros.
La APD italiana consideró que Uber había infringido la rgpd. La política de privacidad que Uber daba a sus usuarios era insuficiente. Además, Uber había tratado datos sin su consentimiento. Por último, no cumplió su obligación de notificar a la APD italiana el tratamiento con fines de geolocalización.
Cómo respondieron
A lo largo del procedimiento, Uber declaró que siempre facilitaba a sus usuarios información sobre cómo se realizaba el tratamiento de datos y les proporcionaba políticas de privacidad actualizadas. Afirmó que había compartido sus procedimientos y políticas con la APD en 2015, y la APD nunca cuestionó nada.
Los argumentos de Uber no fueron suficientes para superar las infracciones de rgpd .
13. Vodafone España - 3,94 millones de euros (4 millones de dólares)
Vodafone España ha sido multada por la Agencia Española de Protección de Datos AEPD por infringir la rgpd tras llevar a cabo una investigación.
Por qué les multaron
La AEPD descubrió que los métodos utilizados por Vodafone para duplicar las tarjetas SIM vulneraban la confidencialidad y transferían datos personales a terceros. La investigación también descubrió que Vodafone no mantenía un programa de cumplimiento de rgpd con suficientes medidas de seguridad, lo que aumentaba el riesgo de usurpación de identidad.
Cómo respondieron
Vodafone no estaba de acuerdo y dijo que su prioridad es la privacidad del cliente.
14. Administración holandesa de impuestos y aduanas- 3,7 millones de euros (3,8 millones de dólares)
La Administración de Impuestos y Aduanas neerlandesa es el servicio de recaudación de impuestos y aduanas de los Países Bajos. Ha sido multada por la Autoridad Neerlandesa de Protección de Datos.
Por qué les multaron
Se descubrió que la Agencia Tributaria y de Aduanas neerlandesa había tratado ilegalmente datos personales al mantener una lista negra en su Fraude Signalering Voorziening (FSV) -o "servicio de identificación del fraude"- que utilizaba para registrar sospechas de fraude. Muchas personas fueron incluidas incorrectamente en la lista.
La agencia neerlandesa de protección de datos constató que:
- No había base jurídica para recoger la información
- No se especificó la finalidad
- Los datos se almacenaron durante demasiado tiempo
- Los datos no estaban protegidos
- En sus evaluaciones no participaron responsables de la protección de datos.
Cómo respondieron
La Administración Fiscal y Aduanera neerlandesa puede presentar una objeción a la multa. Ya ha pedido disculpas a 60 personas perjudicadas por esta "lista negra".
15. Grupo OTE - 3,25 millones de euros (3,59 millones de dólares)
En relación con la multa a Cosmote mencionada anteriormente, la empresa matriz de Cosmote, OTE Group, también fue multada por la HDPA.
Por qué les multaron
Esta multa adicional de 3,25 millones de euros se emitió por separado después de que la investigación de Cosmote determinara que OTE debería haber sido incluida en el proceso desde el principio, pero no lo había sido.
La HDPA también descubrió que OTE Group era parcialmente responsable del pirateo de los datos de Cosmote. El pirata utilizó una contraseña de administrador de OTE Group para entrar en los sistemas de Cosmote. Por ello, la HDPA impuso una multa adicional a OTE Group por no proteger adecuadamente sus sistemas de datos.
16. Amazon Road Transport - 2 millones de euros (2,27 millones de dólares)
Amazon Transporte por Carretera fue multada por la agencia española de protección de datos AEPD.
Por qué les multaron
La AEPD comenzó a investigar una reclamación contra Amazon Road Transport. Descubrió que, al contratar a conductores de camión autónomos, Amazon exigía a los contratantes un certificado que acreditara la ausencia de antecedentes penales (certificado negativo). Amazon también exigía a estos contratistas que dieran su consentimiento para que estos datos (certificados negativos) pudieran ser transferidos a empresas del grupo y suministros fuera del Espacio Económico Europeo.
La AEPD determinó que estos certificados negativos eran datos personales. Y como no existía ninguna ley española que permitiera a una empresa tramitar los antecedentes penales de sus camioneros, no había base legal para que Amazon exigiera certificados negativos.
Además, el consentimiento dado no es informado porque no se facilita información sobre el tratamiento, la finalidad, la base jurídica o la forma de retirar el consentimiento. Y el consentimiento no se da voluntariamente porque es una condición para avanzar en el proceso de contratación.
Cómo respondieron
Amazon intentó argumentar que el certificado era legítimo porque salvaguardaba la seguridad de los clientes. La AEPD no quedó convencida.
17. Easylife Limited - 1,53 millones de euros (1,6 millones de dólares)
Easylife Limited es un minorista por catálogo.
Por qué les multaron
La ICO británica descubrió que Easylife había creado perfiles de 145.400 personas para inferir condiciones de salud sin su consentimiento. Hicieron sus inferencias a partir de los productos que los clientes compraron en el Catálogo de Salud de Easylife.
Al no notificar a sus clientes este uso de sus datos, la OIC determinó que Easylife infringía el artículo rgpd contra el tratamiento "ilícito e invisible" de datos de categoría especial.
Cómo respondieron
Easylife declaró que recurrirían la decisión del ICO. Si Easylife decide seguir adelante con el recurso, tiene hasta el 1 de noviembre de 2022 para hacerlo.
18. Dedalus Biologie - 1,5 millones de euros (1,56 millones de dólares)
Dedalus Biologie, proveedor europeo de software médico, ha sido multado por la agencia francesa de protección de datos CNIL.
Por qué les multaron
La autoridad francesa de protección de datos multó a Dedalus Biology con 1,5 millones de euros por violar la ley rgpd. Su base de datos se filtró en Internet y reveló los nombres completos de los pacientes, números de la seguridad social, nombres de los médicos, fechas de exámenes, información médica e información genética.
La CNIL determinó que Dedalus Biologie no cumplió las instrucciones del responsable del tratamiento al extraer más información de la requerida, que incluía datos personales sobre la salud. La CNIL también concluyó que Dedalus incumplió su obligación de proteger los datos personales.
Cómo respondieron
Dedalus Biologie respondió a la decisión declarando su voluntad de mejorar su seguridad y el cumplimiento de rgpd .
Mayores multas en rgpd en 2021
2021 es el año más reciente para el que disponemos de 12 meses completos de datos de emisión de multas en rgpd .
También es el año en que se impusieron las cinco multas más elevadas de la historia a rgpd . Probablemente porque la infraestructura de investigación de las infracciones de rgpd maduró plenamente en 2021.
Como resultado, las grandes empresas que operan a escala mundial pudieron ser auditadas con precisión, y muchas resultaron deficientes en materia de protección de datos.
Estas son las mayores multas de 2021, incluida la multa récord a Amazon.
1. Amazon - 746 millones de euros (823,9 millones de dólares)
Esta multa no es sólo la más alta de 2021 en rgpd , sino también la más alta jamás impuesta en rgpd .
La Comisión Nacional luxemburguesa multó con 746 millones de euros a la base de amazon en Luxemburgo por protección de datos.
La sanción es casi tres veces mayor que la siguiente multa más alta rgpd .
Por qué les multaron
El NCDP se vio impulsado a iniciar la investigación después de que la ONG francesa La Quadrature du Net (Cuadratura de la Red) presentara una denuncia en nombre de 10.000 clientes de Amazon. La Quadrature du Net se quejaba de que Amazon rastreaba claramente los datos de los usuarios de forma no permitida para llevar a cabo su publicidad selectiva.
Durante la investigación, el NCDP descubrió que Amazon rastreaba los datos de sus usuarios sin obtener el debido consentimiento. Sin embargo, la organización no ha dado a conocer detalles concretos amparándose en el secreto profesional.
Cómo respondieron
Amazon ha dejado claro que tiene intención de luchar contra la decisión. El argumento de la empresa es que, dado que no se han producido violaciones de datos ni se han expuesto datos privados a terceros, sus prácticas no violan la rgpd. Sin embargo, La Quadrature du Net respondió que "es el propio sistema de publicidad dirigida, y no meras violaciones de seguridad ocasionales, lo que nuestra acción legal atacaba."
Aún está por ver si el recurso prosperará.
2. WhatsApp - 225 millones de euros (248,5 millones de dólares)
Directamente después de la multa a Amazon, la empresa de aplicaciones de comunicación WhatsApp es la segunda multa más alta de rgpd tanto de 2021 como de todos los tiempos.
Por qué les multaron
La Comisión de Protección de Datos (CPD) de Irlanda investigó los procesos de tratamiento de datos de WhatsApp y descubrió múltiples infracciones, lo que dio lugar a una multa de 225 millones de euros. La DPC determinó que WhatsApp no había proporcionado la transparencia adecuada a los usuarios sobre cómo utilizaba los datos. La DPC también descubrió que WhatsApp no proporcionaba políticas de privacidad suficientemente claras a los usuarios.
Cómo respondieron
Sin embargo, la cuantía de la multa es objeto de debate. WhatsApp ha recurrido la decisión del CPD, alegando que proporciona información precisa sobre su uso de datos a todos los usuarios. La decisión del CPD también se ha enfrentado a objeciones de otros países de la UE, como Francia, Alemania e Italia, que debatieron los detalles del razonamiento del CPD.
Es posible que la multa no se reduzca aunque el recurso provoque algún cambio. Al contrario, el Consejo Europeo de Protección de Datos pidió específicamente al CPD que reevaluara la multa y fijara un importe más elevado, después de que la propuesta original de la agencia fijara una cantidad de entre 30 y 50 millones de euros.
El recurso de WhatsApp está en curso.
3. Google Irlanda - 60 millones de euros (66 millones de dólares)
Irlanda es también el origen de otra multa elevada de rgpd en 2021.
Por qué les multaron
La autoridad francesa de protección de datos (CNIL) impuso una multa de 60 millones de euros a la filial irlandesa de Google ( rgpd ) tras determinar que la empresa había incumplido los requisitos de rgpden materia de cookies, en concreto por dificultar su rechazo en YouTube. rgpd exige a las empresas que faciliten por igual la aceptación y el rechazo de las cookies.
Pero, ¿por qué una autoridad francesa multó a una empresa irlandesa?
La CNIL argumentó que la multa está, en parte, relacionada con la Directiva sobre privacidad y comunicaciones electrónicas de la UE, no sólo con rgpd. La Directiva sobre privacidad y comunicaciones electrónicas permite a los reguladores emprender acciones directas contra cualquier sitio web que opere dentro de su jurisdicción.
Así que, como resultado, la falta de cumplimiento de Google Irlanda con las cookies era algo de lo que la CNIL podía hacerse cargo directamente en lugar de remitirlo al CPD.
Cómo respondieron
Los portavoces de Google han declarado que "la gente confía en nosotros para que respetemos su derecho a la privacidad y les mantengamos a salvo. Somos conscientes de nuestra responsabilidad de proteger esa confianza y nos comprometemos a introducir nuevos cambios y a colaborar activamente con la CNIL a la luz de esta decisión."
4. Google - 90 millones de euros (99 millones de dólares)
Sí, Google es responsable de varias multas en un mismo año natural.
Por qué les multaron
Google fue declarado parcialmente responsable del mismo problema de conformidad de cookies que Google Irlanda. La CNIL determinó que Google LLC, la rama estadounidense de la empresa, también era responsable de que Youtube no rechazara simplemente las cookies.
Esta decisión demuestra que las grandes empresas pueden enfrentarse a más de una multa. Por ejemplo, si una empresa tiene múltiples sucursales en varios países, cada una de esas filiales podría estar expuesta a importantes multas de aplicación de rgpd .
5. Facebook - 60 millones de euros (66 millones de dólares)
Se trata de la tercera multa masiva a rgpd por parte de la CNIL en 2021.
Por qué les multaron
La filial irlandesa de Facebook, Facebook Ireland Limited, fue multada sobre la misma base que Google Ireland y Google LLC. La CNIL descubrió que Facebook France, filial de Facebook Ireland, exigía a los usuarios que seleccionaran varias opciones para rechazar todas las cookies no esenciales, pero solo una opción para aceptar todas las cookies.
Según la CNIL, esto infringía las normas de las Directivas rgpd y ePrivacy sobre el uso de cookies y le valió una multa de 60 millones de euros basada en los ingresos de Facebook.
Cómo respondieron
Facebook ha recurrido la multa. La empresa alega que la CNIL en realidad está tratando de hacer cumplir sus Directrices y Recomendaciones nacionales en lugar de la Directiva sobre privacidad y comunicaciones electrónicas o la rgpd.
Facebook argumenta que la CNIL sólo debería poder multar a Facebook Francia en lugar de a Facebook Irlanda, lo que reduciría significativamente las multas que la empresa tendría que pagar en función de los ingresos.
6. Notebookbilliger.de - 10,4 millones de euros (11,5 millones de dólares)
El minorista alemán de electrónica en línea Notebookbilliger.de recibió una multa de 10,4 millones de euros del comisario de protección de datos del estado alemán de Baja Sajonia.
Por qué les multaron
El comisario había ordenado una investigación sobre las prácticas de recopilación de datos de Notebookbilliger.de. La investigación descubrió que Notebookbilliger.de había instalado cámaras de vídeovigilancia en lugares de trabajo, zonas de venta, zonas comunes y almacenes de toda su empresa. Estas grabaciones se conservaban durante 60 días.
Aunque la vigilancia por vídeovigilancia está permitida en rgpd, debe realizarse por un motivo lícito y sólo después de que otros métodos de prevención de la delincuencia no hayan dado resultado. Además, la videovigilancia debe ser limitada, lo que no ocurría en las zonas de venta.
El comisario determinó que el uso de videovigilancia por parte de Notebookbilliger.de era desproporcionado y multó a la empresa en consecuencia.
Cómo respondieron
El CEO de la empresa argumentó que esta multa era injusta, desproporcionada y mal investigada. El recurso de Notebookbilliger.de contra la multa está en curso.
7. Austrian Post - 9,5 millones de euros (10,5 millones de dólares)
Aunque Austria no es tan agresiva como Francia en la aplicación de rgpd , sigue siendo uno de los países más firmes en materia de protección de datos. Por ejemplo, la DPA austriaca multó al propio servicio nacional de correos del país con 9,5 millones de euros por incumplir la rgpd.
Por qué les multaron
Según la DPA austriaca, Correos de Austria se negó a que los ciudadanos preguntaran por correo electrónico sobre sus datos personales almacenados. Aunque la agencia permitía otros métodos de consulta, se negaba específicamente al correo electrónico. La DPA determinó que esto suponía una carga excesiva para los clientes y violaba la rgpd.
Esta multa llega después de que el Tribunal Administrativo Federal austriaco anulara una multa anterior de 18 millones de euros ( rgpd ) contra Correos por procesar datos de clientes para determinar las afiliaciones políticas de ciudadanos austriacos.
Cómo respondieron
El Correo ha declarado que recurrirá esta multa al igual que recurrió la anterior.
8. Vodafone España - 8,15 millones de euros (9 millones de dólares)
El proveedor español de telecomunicaciones Vodafone España se enfrentó a una multa de 8,15 millones de euros en 2021 por "infracciones múltiples y reiteradas de rgpd ".
Por qué les multaron
Según la Agencia Española de Protección de Datos (AEPD), Vodafone había infringido tres artículos de rgpd y otras múltiples leyes españolas de protección de datos.
Vodafone utilizó datos de clientes para realizar llamadas ilegales de telemarketing. Además, los clientes que solicitaron el cese de estas llamadas siguieron recibiendo llamadas de telemarketing a un ritmo agresivo. Al parecer, esto se debe a la decisión de Vodafone de utilizar agencias de marketing de terceros sin acceso a las listas de "no llamar" que la empresa está obligada a mantener.
Cómo respondieron
Vodafone ha alegado que sus acciones no infringen la rgpd y que recurrirá la multa. La empresa ha recibido más de 30 multas de rgpd en los cuatro años transcurridos desde la entrada en vigor de la ley.
9. Grindr - 6,3 millones de euros (7 millones de dólares)
La aplicación estadounidense de citas Grindr recibió una multa de 6,3 millones de euros de la DPA noruega.
Por qué les multaron
La multa se basa en acusaciones de que la empresa ha estado enviando datos personales sensibles a anunciantes de terceros sin su consentimiento.
Aunque Noruega no es miembro de la UE, el país ha adoptado y hace cumplir la rgpd. Por ello, cuando el Consejo de Consumidores de Noruega presentó una denuncia ante la DPA por el hecho de que Grindr compartiera datos privados como la localización GPS, las direcciones IP, la edad y el sexo de los usuarios, la DPA utilizó las directrices de rgpd para investigar a la empresa.
Según la DPA, Grindr exige a los usuarios que acepten la política de privacidad en su totalidad para utilizar la aplicación. rgpd prohíbe específicamente a los servicios exigir a los usuarios que acepten que se guarden y procesen datos no esenciales para acceder al servicio.
Además, la APD descubrió que los usuarios no estaban informados de cómo se utilizaban sus datos y no podían consentir debidamente el uso.
Cómo respondieron
Grindr ha anunciado que tiene previsto recurrir la decisión alegando que ha cambiado sus prácticas y que ahora cumple los requisitos de rgpd .
10. CaixaBank - 6 millones de euros (6,6 millones de dólares)
Otra multa de la AEPD española fue a parar al banco español CaixaBank.
Por qué les multaron
Esta multa de 6 millones de euros se impuso porque CaixaBank no cumplía los requisitos de rgpdpara que el consentimiento sea válido y porque los métodos de obtención del consentimiento del banco eran inadecuados. La AEPD también determinó que CaixaBank realizó "transferencias ilícitas" de datos personales a otras empresas con su suelo bancario.
Los bancos tienen acceso a importantes datos sensibles de los usuarios, desde detalles financieros hasta números de identificación. Por tanto, no informar a los usuarios sobre cómo se utilizarán sus datos y transferirlos a otras empresas vulnera por definición múltiples elementos de la rgpd.
Cómo respondieron
CaixaBank recurrirá la decisión.
11. Fastweb S.p.A - 4,5 millones de euros (5 millones de dólares)
El Garante, la DPA italiana, ha multado al proveedor italiano de servicios de internet Fastweb con 4,5 millones de euros por violar la rgpd tras recibir cientos de quejas de clientes.
Por qué les multaron
Según el Garante, Fastweb utilizó datos de clientes para realizar llamadas promocionales de telemarketing sin su consentimiento. Fastweb ha sido multada por infracciones similares en el pasado.
La multa también conlleva otros requisitos. Fastweb también tendrá que demostrar que todas las futuras llamadas de telemarketing se realizan a través de números registrados. Además, la empresa ya no podrá utilizar listas de datos de clientes de otros proveedores sin pruebas de que los usuarios dieron su consentimiento para que sus datos se utilizaran con fines de marketing.
Cómo respondieron
Fastweb ha cooperado con la investigación y no se ha opuesto a la multa.
12. Sky Italia - 3,3 millones de euros (3,6 millones de dólares)
El Garante emitió otra importante multa de telecomunicaciones contra la plataforma de televisión italiana Sky Italia.
Por qué les multaron
Al igual que el caso contra Fastweb, la multa de 3,3 millones de euros se impuso porque Sky Italia procesó y utilizó indebidamente datos de clientes con fines promocionales. Como resultado, los clientes de Sky Italia recibieron llamadas de telemarketing no solicitadas que no cesaron cuando pidieron a la empresa que dejara de ponerse en contacto con ellos.
Además, al igual que Fastweb, Sky Italia ya no está autorizada a realizar llamadas comerciales a través de números no registrados y ya no puede utilizar listas de contactos de terceros sin una prueba de consentimiento.
Cómo respondieron
Sky Italia no recurrirá la multa.
13. Caixabank Pagos y Consumo - 3 millones de euros (3,3 millones de dólares)
Sí, CaixaBank recibió dos multas distintas de rgpd en 2021. Este caso no estaba relacionado con la multa de 6 millones de euros también emitida por la AEPD de España.
Por qué les multaron
En este caso, la investigación determinó que la filial de CaixaBank Caixabank Payments & Consumer EFC estaba tratando datos personales por motivos ilegales y multó al banco con 3 millones de euros.
Según la AEPD, CaixaBank solicitó información individual de ficheros de solvencia a pesar de no tener contratos activos con esas personas. Además, el banco utilizó estos datos para respaldar campañas de marketing sin el consentimiento de los particulares.
Cómo respondieron
CaixaBank argumenta que su uso de datos estaba permitido y recurre la multa de la AEPD.
14. Iren Mercato - 2,9 millones de euros (3,2 millones de dólares)
El Garante estuvo muy ocupado en 2021. La agencia también multó a Iren Mercato, una empresa energética italiana, con 2,9 millones de euros por incumplir los requisitos de tratamiento de datos de rgpd.
Por qué les multaron
El Garante determinó que Iren Mercato había aceptado y procesado datos privados de varias otras fuentes sin recibir el consentimiento de esas personas para utilizar esos datos con fines de telemarketing.
rgpd exige a todas las organizaciones que procesen la cantidad mínima de datos pertinentes para prestar sus servicios. Además, el reglamento exige que todos los usuarios tengan la oportunidad de dar su consentimiento antes de que una organización procese sus datos, cosa que Iren Mercato no hizo, de ahí la multa.
Cómo respondieron
Iren Mercato no ha hecho ninguna declaración pública sobre si va a recurrir la decisión.
15. Ministro holandés de Finanzas - 2,75 millones de euros (3 millones de dólares)
Ni siquiera los gobiernos y los empleados públicos son inmunes a rgpd. Por ejemplo, el Ministro de Hacienda holandés se vio obligado a pagar una multa de 2,75 millones de euros después de que la autoridad nacional holandesa de protección de datos determinara que el fisco había registrado y procesado ilegalmente las nacionalidades de las personas.
Por qué les multaron
Según rgpd, ninguna organización puede rastrear datos personales como la nacionalidad salvo por un "motivo lícito". Las organizaciones tampoco pueden rastrear estos datos sin consentimiento. La Agencia Tributaria neerlandesa había utilizado información sobre la nacionalidad individual para realizar devoluciones discriminatorias e ilegales de prestaciones de guardería y llevar a cabo investigaciones frívolas de fraude contra los padres.
Cómo respondieron
El Ministerio de Hacienda neerlandés no ha recurrido con éxito la multa.
16. Foodinho - 2,6 millones de euros (2,9 millones de dólares)
La empresa italiana de reparto de comida a domicilio Foodinho ha sido objeto de otra multa multimillonaria impuesta por el Garante.
La agencia investigó el sistema de calificación de rider y los avisos de privacidad de Foodinho y concluyó que ambos eran deficientes, lo que dio lugar a una multa de 2,6 millones de euros.
Por qué les multaron
En concreto, se descubrió que el sistema de clasificación de motoristas de Foodinho posiblemente fomentaba la discriminación basada en la información personal del motorista. Su sistema automatizado puede haber impedido que los usuarios consigan trabajo con prejuicios inconscientes relacionados con los datos personales del usuario.
Mientras tanto, el Garante determinó que Foodinho no era lo suficientemente claro como para que los clientes otorgaran un consentimiento válido sobre el uso que se estaba haciendo de sus datos.
Cómo respondieron
Foodinho ha anunciado que está estudiando la posibilidad de recurrir la decisión. La empresa también ha declarado que cumplir la rgpd es una de sus principales prioridades.
Las mayores multas de rgpd en 2020
En 2020, seguía habiendo un gran número de multas de elevada cuantía. Sin embargo, las multas de este año no alcanzaron el pico de nueve dígitos que alcanzarían más tarde. 2020 fue un año en el que muchas empresas que no pertenecían obviamente al sector de los datos descubrieron que se les aplicarían las normas de rgpdcomo a cualquier otra empresa. Las principales multas de rgpd en 2020 fueron las siguientes:
1. H&M - 35,3 millones de euros (39 millones de dólares)
Aunque el minorista de ropa H&M no nos venga inmediatamente a la cabeza como recopilador de datos, la empresa procesa a diario una cantidad importante de datos de sus clientes.
Por qué les multaron
Los reguladores alemanes descubrieron que H&M infringía los requisitos de rgpdal mantener un número excesivo de registros sobre su plantilla, incluidos datos como la familia, la religión y las enfermedades de los empleados. Esto llevó a la DPA alemana a imponer una multa de 35,3 millones de euros, que fue, en su momento, la segunda multa más alta jamás impuesta en rgpd .
Esta acción infringe el requisito de rgpdde que las organizaciones sólo conserven datos para fines lícitos. Dado que las creencias familiares y religiosas no afectan a las capacidades de un trabajador, una empresa no tiene por qué hacer un seguimiento de estos datos. Sin embargo, H&M hizo caso omiso de esta norma y realizó encuestas invasivas al personal sobre estas cuestiones, y conservó los datos durante largos periodos.
Cómo respondieron
Tras la imposición de la multa, H&M aceptó toda la responsabilidad por la infracción y estableció un plan de compensación para los empleados, además de cumplir los requisitos de los reguladores.
2. TIM (Telecom Italia) - 27,8 millones de euros (30,7 millones de dólares)
El Garante ha dedicado mucho tiempo a investigar las telecomunicaciones italianas.
En 2020, el Garante multó a TIM (antes conocida como Telecom Italia) con 27,8 millones de euros por utilizar datos privados de usuarios para realizar llamadas de telemarketing.
Por qué les multaron
Las investigaciones también determinaron que TIM exigía indebidamente el consentimiento para utilizar datos sensibles para que los clientes participaran en sorteos de premios.
Además, Garante afirmó que TIM procesaba los datos privados de forma indebida y no los protegía adecuadamente. TIM no mostraba a los usuarios políticas de privacidad útiles y guardaba los datos recopilados de forma que no quedaban protegidos frente a las violaciones de datos.
Cómo respondieron
TIM intentó recurrir la multa, pero el recurso no ha prosperado. En consecuencia, la empresa tuvo que pagar la multa y modificar profundamente sus métodos de recogida, tratamiento y almacenamiento de datos para cumplir la normativa rgpd.
3. British Airways - 20 millones de libras (26,4 millones de dólares)
Aunque desde entonces el Reino Unido ha abandonado la UE, en 2020 el país seguía sujeto a la rgpd. Como resultado, la Oficina del Comisario de Información del Reino Unido (ICO) siguió las normas de la rgpdpara multar a British Airways con 20 millones de libras.
Por qué les multaron
La multa se impuso por la gestión de British Airway de una importante filtración de datos que expuso la información privada de más de 400.000 clientes en el transcurso de tres meses.
Inicialmente, la ICO pretendía imponer una multa de 183 millones de libras esterlinas por la infracción, debido al dramático impacto y a los ingresos obtenidos por British Airways. Sin embargo, la agencia ajustó la cantidad final debido al impacto financiero de la pandemia del COVID-19.
La brecha original se produjo en 2018, y la investigación continuó en 2019.
Cómo respondieron
British Airways recurrió inmediatamente la decisión cuando la ICO emitió el importe original de la multa. Como resultado, la multa definitiva no se publicó oficialmente hasta 2020.
Sin embargo, a pesar de los esfuerzos de British Airways, se le impuso una multa drástica destinada a enviar un mensaje sobre la seriedad con la que los organismos de control de rgpd se toman las violaciones de datos de cualquier tamaño.
4. Marriott - 18,4 millones de libras (24,3 millones de dólares)
La rgpd también se aplica a las violaciones de datos ocurridas antes de su entrada en vigor.
Eso es lo que ocurrió cuando la ICO británica impuso una multa de 18,4 millones de libras a Marriott por una infracción significativa que potencialmente afectó a nada menos que un tercio de los mil millones de huéspedes.
Por qué les multaron
La empresa sufrió una brecha en 2014 que filtró nombres de clientes, información de contacto y datos del pasaporte de nada menos que 339 millones de huéspedes. Por desgracia, esta filtración pasó desapercibida y no se abordó hasta 2018, cuando entró en vigor la página rgpd , que dio al pirata informático acceso continuado durante cuatro años.
Por ello, la ICO pretendía inicialmente imponer una multa de 99 millones de libras esterlinas, que, según la agencia, pretendía ser un elemento disuasorio para otras empresas que incumplieran de forma similar.
Cómo respondieron
Marriott recurrió la multa porque había actuado con rapidez en cuanto se le comunicó el problema.
En la decisión final, la ICO reconoció esto y el hecho de que Marriott había mejorado significativamente sus sistemas entretanto y rebajó la multa a sólo 18,4 millones de libras.
5. Wind Tre - 16,7 millones de euros (18,4 millones de dólares)
Otra multa italiana de telecomunicaciones rgpd fue impuesta a Wind Tre.
Por qué les multaron
El Garante investigó a Wind basándose en más de cien quejas sobre cómo la empresa realizaba llamadas de telemarketing, mensajes de texto e incluso faxes. Los clientes también se quejaron de que Wind no les proporcionaba medios para excluirse de la recopilación de datos o impedir que su información de contacto se hiciera pública.
Este comportamiento llevó al Garante a imponer una multa de 16,7 millones de euros por las numerosas infracciones de la empresa rgpd .
Cómo respondieron
Aunque Wind Tre intentó recurrir la decisión, el recurso no prosperó. En consecuencia, la multa del Garante se mantuvo.
Además, se obligó a la empresa a dejar de recopilar determinados datos y a dejar de utilizar la información de los clientes para realizar actividades de marketing sin consentimiento directo y probado.
6. Vodafone Italia - 12,25 millones de euros (13,5 millones de dólares)
Siguiendo con la tendencia de las medidas coercitivas en el sector italiano de las telecomunicaciones rgpd , el Garante también impuso a Vodafone Italia una multa de 12,25 millones de euros por uso indebido de datos de clientes.
Por qué les multaron
Al igual que otras empresas de telecomunicaciones de esta lista, el Garante descubrió que Vodafone Italia había estado utilizando los datos de sus clientes para actividades de marketing sin su consentimiento. Como resultado, los clientes de Vodafone presentaron cientos de quejas contra las constantes llamadas de la empresa, que continuaron después de solicitar que cesaran.
Cómo respondieron
Vodafone intentó recurrir la decisión, pero le fue denegada.
Por desgracia, Vodafone tampoco aprendería la lección, y otras sucursales de la corporación internacional se han enfrentado a decenas de multas desde 2018.
7. Google Suecia - 75 millones de coronas suecas (7,9 millones de dólares)
Google vuelve a aparecer en esta lista por infracciones en Suecia.
La DPA sueca investigó la sucursal local de Google tras recibir quejas de que la empresa podría estar violando el "derecho al olvido" de rgpd.
Por qué les multaron
En virtud de la rgpd, toda persona tiene derecho a que su obra sea eliminada de los motores de búsqueda o, básicamente, a "ser olvidada".
La DPA sueca determinó que Google permitía a los propietarios de sitios volver a publicar contenidos que habían sido retirados de la lista por otros sitios y personas, lo que socavaba el derecho a retirarlos por completo. Este descubrimiento llevó a la agencia a imponer una multa de 75 millones de coronas suecas, unos 7,9 millones de dólares.
Cómo respondieron
Aunque Google recurrió la decisión, los tribunales suecos confirmaron la multa. También se prohibió a la empresa informar a los propietarios de sitios web sobre las solicitudes de exclusión de la lista.
8. BBVA - 5 millones de euros (5,5 millones de dólares)
La AEPD española impuso dos multas al Banco Bilbao Vizcaya Argentaria (BBVA), una de 2 y otra de 3 millones de euros, por dos infracciones distintas de rgpd .
Por qué les multaron
Una de las multas se debió a que el banco utilizó información de clientes para realizar actividades de marketing a través de SMS sin obtener el consentimiento del cliente. La otra se debió a que la entidad no incluyó toda la información pertinente en su aviso de privacidad.
Cómo respondieron
El BBVA intentó recurrir ambas multas, alegando que sus acciones no infringían realmente la rgpd. Sin embargo, los tribunales españoles confirmaron la decisión de la AEPD, y el BBVA se vio obligado a pagar ambas multas.
9. Grupo Carrefour - 3,05 millones de euros (3,5 millones de dólares)
La CNIL francesa impuso multas por un total de 3,05 millones de euros a dos filiales del conglomerado minorista Carrefour Group.
Por qué les multaron
La CNIL comenzó a investigar al Grupo Carrefour tras recibir quejas de clientes que afirmaban que la empresa no atendía las solicitudes de cancelación de datos, les enviaba comunicaciones de telemarketing no solicitadas y no permitía darse de baja de los correos electrónicos de marketing.
La CNIL consideró que estas denuncias eran exactas y determinó que el Grupo Carrefour había infringido la rgpd.
Según la CNIL, el Grupo Carrefour infringió la normativa rgpd al no ofrecer a los usuarios la posibilidad de eliminar sus datos o de optar por no utilizar cookies.
Cómo respondieron
El intento de la empresa de recurrir estas decisiones fracasó.
10. Göran AB - 30 millones de coronas suecas (3,2 millones de dólares)
El proveedor sanitario sueco Capio St. Göran AB recibió una multa de 30 millones de coronas suecas, unos 2,9 millones de euros, por no proteger adecuadamente los datos de los pacientes.
Por qué les multaron
La DPA sueca investigó el hospital y determinó que la organización no había realizado ningún análisis de riesgos en relación con el almacenamiento de datos de pacientes, por lo que no tenían ni idea de los peligros a los que se enfrentaban.
Göran no estaban debidamente configurados para proporcionar el acceso mínimo necesario. Como consecuencia de ello, empleados que no necesitaban ver determinados datos sensibles podían acceder a importante información privada de pacientes.
Ambos defectos violan directamente los principios de rgpd.
Cómo respondieron
Aunque Capio St. Göran intentó recurrir, no prosperó. Göran intentó interponer un recurso, que no prosperó. El proveedor de servicios sanitarios tuvo que pagar el total de la multa y revisar todos sus sistemas de procesamiento y almacenamiento de datos para proteger más eficazmente la información confidencial de los pacientes.
Las mayores multas de rgpd en 2019
Las cosas empezaron a acelerarse en el segundo año de existencia de rgpd. 2019 fue el primer año en que las multas de rgpd superaron la barrera de los 10 millones de euros.
También fue el año en que las empresas de fuera de la UE empezaron a darse cuenta de la importancia de seguir las directrices de rgpd.
La mayor multa de rgpd en 2019 fue en realidad contra la sede de Google en Estados Unidos.
Así han sido las multas más altas de 2019 en rgpd :
1. Google - 50 millones de euros (56,8 millones de dólares)
Sí, Google ha vuelto a entrar en la lista.
Por qué les multaron
En 2019, la CNIL impuso a Google Irlanda una multa de 50 millones de euros por dos incumplimientos diferentes.
En primer lugar, la CNIL determinó que Google no facilitaba el acceso de los usuarios a sus divulgaciones y que la información contenida en las divulgaciones estaba dividida en varios documentos, que incluían varios enlaces en los que los usuarios tenían que hacer clic para ver las divulgaciones.
Además, la explicación de la política de privacidad sobre los tipos de datos tratados y el motivo del tratamiento era demasiado vaga.
En segundo lugar, dado que la información estaba repartida en varios documentos, la CNIL concluyó que Google violaba el consentimiento de los usuarios a la personalización de los anuncios. La estructura del documento de consentimiento dificultaba que los usuarios entendieran lo que realmente estaban aceptando.
Cómo respondieron
Google recurrió este caso ante el más alto tribunal administrativo de Francia, el Conseil d'État. Google alegó que, dado que Irlanda es su principal ubicación en la UE, el Comisario de Protección de Datos irlandés debería haber supervisado las cuestiones de protección de datos de Google.
Google también alegó que la CNIL no aplicó correctamente las leyes de rgpd.
El Conseil d'État rechazó los argumentos de Google y confirmó la decisión, concretando la mayor multa jamás impuesta a rgpd en aquel momento.
2. Eni Gas e Luce - 11,5 millones de euros (12,7 millones de dólares)
Volviendo a Italia, el proveedor italiano de gas y petróleo Eni Gas e Luce fue multado con 11,5 millones de euros por uso indebido de datos de clientes.
Por qué les multaron
La empresa almacenaba información sobre clientes sin una base jurídica adecuada y utilizaba esa información para realizar llamadas de telemarketing, lo que dio lugar a multas individuales de 8,5 millones de euros y 3 millones de euros.
Cómo respondieron
Aunque la empresa intentó un recurso, no prosperó. Como consecuencia, también se exigió a Eni que dejara de realizar llamadas de telemarketing o de ofrecer contratos no solicitados utilizando datos de clientes.
3. 1&1 Telecom GmbH - 9,55 millones de euros (10,55 millones de dólares)
Las telecos italianas no son las únicas que se enfrentan a cuantiosas multas en rgpd en 2019. El gigante alemán de las telecomunicaciones 1&1 fue multado con 9,55 millones de euros por el Comisario Federal de Protección de Datos y Libertad de Información (BfDI).
Por qué les multaron
La organización recopilaba muchos más datos de los necesarios para cada cliente. Además, la investigación de la BfDI descubrió que estos datos eran accesibles a una gama de empleados de 1&1 más amplia de lo necesario.
Cómo respondieron
A diferencia de otras empresas de telecomunicaciones de esta lista, 1&1 no recurrió la multa. En lugar de ello, el proveedor colaboró estrechamente con la BfDI durante la investigación para proporcionar información clara y accesible sobre sus procesos. Por ello, la BfDI no sintió la necesidad de imponer la multa más alta posible.
Mantener buenos registros y colaborar estrechamente con los reguladores puede ayudar a las empresas a reducir la cantidad que deben pagar si son investigadas por incumplimiento de rgpd .
4. Agencia Tributaria Nacional de Bulgaria - 5,1 millones de lev búlgaros (2,9 millones de dólares)
La Agencia Tributaria Nacional de Bulgaria fue multada con 5,1 millones de BGN por la Comisión de Protección de Datos Personales del propio país.
Por qué les multaron
Según la Comisión, la Agencia Tributaria Nacional sufrió una filtración de datos que expuso los datos privados de más de cinco millones de ciudadanos búlgaros. La Comisión concluyó que la Agencia Tributaria Nacional no había protegido adecuadamente esta información y, por lo tanto, había violado la rgpd.
Cómo respondieron
La Agencia no recurrió la decisión y pagó la multa con cargo a su propio presupuesto. Este caso es probablemente el primero en el que un gobierno tiene que pagar una multa por violar los derechos de protección de datos de sus ciudadanos.
Las mayores multas en 2018 en rgpd
En el primer año de existencia de rgpd, las multas eran relativamente escasas. Pero eso no significa que no se pusieran.
Aunque muchas empresas hicieron todo lo posible por cumplir las leyes, la UE impuso múltiples multas a organizaciones que claramente no seguían los requisitos de rgpd.
Las dos mayores multas de 2018 fueron rgpd :
1. Hospital Barreiro Montijo - 400.000 euros (441.000 dólares)
Aunque las multas no llegaron a ser excesivamente altas en 2018, sí alcanzaron las seis cifras.
La primera multa a un hospital rgpd fue también la sanción más elevada de 2018. La autoridad portuguesa de protección de datos, Comissão Nacional de Proteção de Dados (CNPD), impuso una multa de 400.000 euros al Hospital Barreiro Montijo, a las afueras de Lisboa.
Por qué les multaron
La CNPD emitió la multa tras investigar el control del hospital sobre los datos de los pacientes. Descubrió que Barreiro Montijo no restringía adecuadamente el acceso a la información almacenada en su sistema de gestión de pacientes.
Según la agencia, 985 empleados del hospital tenían pleno acceso a información confidencial sobre la salud de los pacientes, a pesar de que sólo 296 médicos con la debida autorización médica trabajaban para el hospital. Además, nueve trabajadores sociales y un perfil de prueba tenían un acceso similar completo y sin restricciones a los datos de los pacientes.
Cómo respondieron
El hospital recurrió la resolución, alegando que la CNPD no estaba facultada para imponer la multa. Sin embargo, la decisión fue confirmada.
2. Knuddels.de - 20.000 euros (22.000 dólares)
La otra multa significativa de 2018 de rgpd fue emitida a Knuddels.de, un servicio de chat alemán.
Por qué les multaron
La autoridad de protección de datos de Baden-Württemberg (LfDI) impuso una multa de 20.000 euros después de que el servicio sufriera una filtración de datos que permitió a los ciberdelincuentes acceder a información no cifrada de los usuarios.
En última instancia, el servicio no cifró la información crítica, como nombres de usuario y contraseñas. Como resultado, entre 300.000 y 1,8 millones de credenciales de inicio de sesión se vieron comprometidas en la brecha.
Cómo respondieron
La LfDI consideró la posibilidad de imponer una multa más elevada, pero Knuddels.de actuó con rapidez para resolver la infracción.
En consecuencia, la LfDI fue relativamente indulgente y sólo exigió la multa de 20.000 euros. Por este motivo, Knuddels.de no recurrió la decisión.
Aumento interanual de las multas y sumas en rgpd
Utilizando los datos de rgpd Enforcement Tracker, he analizado la tasa de aumento anual del número total de multas de rgpd de 2020 a 2024, que es la siguiente:
- 2020 a 2021: 35,09
- 2021 a 2022: 16,01%.
- De 2022 a 2023: -4,67%.
- De 2023 a 2024: -64,30%.
También calculé el incremento anual de la suma de las multas de 2020 a 2024, lo que arrojó los siguientes resultados:
- 2020 a 2021: 493,91%.
- 2021 a 2022: -17,03%.
- De 2022 a 2023: 88,18%.
- De 2023 a 2024: -69,73%.
De estos datos se desprende que las empresas están controlando el cumplimiento de rgpd .
Si bien se produjo un aumento aparente en el número de multas de rgpd desde 2020 hasta 2022, esto tiene un sentido lógico, ya que el Reglamento era todavía bastante nuevo.
La disminución de las multas desde 2022 hasta 2024 es un signo positivo, lo que indica que las empresas lo tienen más fácil para lograr el pleno cumplimiento de rgpd.
Curiosamente, hubo un gran aumento de las multas de 2022 a 2023, pero esto se debe probablemente a una multa histórica de 1.200 millones de euros (1.300 millones de dólares) que Meta recibió ese año, y que representa la mayor multa de rgpd hasta la fecha.
rgpd El cumplimiento es esencial
Muchas estadísticas sobre privacidad de datos muestran que los consumidores exigen cada vez más transparencia, por lo que es más importante que nunca cumplir la legislación sobre privacidad de datos. Cualquier empresa con un sitio web dirigido a ciudadanos de la UE tiene que cumplir la rgpd o enfrentarse a multas dramáticas.
Organizaciones tan diversas como organismos gubernamentales, hospitales y grandes empresas han visto sus infracciones identificadas y sancionadas con miles, millones o decenas de millones de euros.
Por eso su empresa debe cumplir la normativa rgpd. Puede empezar a cumplirla hoy mismo poniéndose en contacto con Termly.
Tanto si necesita una política de privacidad, un gestor de consentimiento de cookies o una solución completa de cumplimiento, Termly puede ayudarle.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
